悪意あるボットの台頭はインターネットの動作のあり方を変えつつあり、人間が確実に主導権を握り続けるためのより強固な安全対策の必要性を浮き彫りにしています。現在、ボットは世界のWebトラフィックの半分以上を占めており、新たな「プレデターボット」というクラスが出現しました。これは、リアルタイムで適応し、人間の行動を模倣し、APIやビジネスロジックを悪用してデータを盗み、商品を買い占め、取引を乗っ取る自己学習型プログラムを解き放っています。
経済的な影響は甚大です。ボットとAPI攻撃により、認証情報の窃取、買い占め、偽アカウント作成が引き金となって大規模な不正が助長され、オンライン市場が歪められることで、年間最大1,860億ドルが流出しています。これはサイバーによって引き起こされる経済的被害の中でも最も急速に拡大している形態の一つであり、その多くは人目につかないところで進行しています。
セキュリティチームは、自動化の面でハッカーに優位を許す余裕はありません。拡大するボット危機に対処するには、APIとその脆弱性に関する深い知識に加え、攻撃者の増大する武器庫に見合い、かつ対抗できる形で自動化を活用する能力が必要です。
新たなボット経済
ここ数年で、AIは悪意ある自動化を単純なスクリプトから、リアルタイムで進化する適応型システムへと加速させました。今日のプレデターボットは通常のトラフィックパターンにシームレスに溶け込み、正規に見えるボットトラフィックの量を劇的に増やし、セキュリティチームが見つけにくくしています。
ボットの流入により、前例のない規模での認証情報の窃取、アカウント乗っ取り、スクレイピング、買い占め、そしてプロモーション不正が発生しています。悪意あるボットが現在、全Webトラフィックのおよそ37%を占めているため、セキュリティチームは巨大な「ボット叩き(whack-a-mole)」ゲームをしているように感じています。
プレデターボットは金銭的な影響を与えるだけでなく、顧客の信頼や、デジタルインフラに対する社会全体の信頼を徐々に蝕んでいます。これらのボットは金融サービスから行政サービスなどあらゆる分野を標的にしており、重要インフラの能力に対する公共の信頼をさらに損なっています。いまや小さな混乱でさえ自動化によって増幅され、些細な弱点が大規模な障害や不正事案へと変わり得ます。
プレデターボットが影響力と規模を拡大し続ける中、防御側に残された、明日の顧客のために今日のデジタルインフラを守る時間的猶予は縮小しています。
APIは最前線
APIはインターネットをつなぐ基盤であり、ID管理、決済、チェックアウトカート、在庫、顧客アクセスといった機能を支えています。APIがインターネットを接続する仕組みそのものが、APIを最も脆弱な標的にしている理由でもあります。APIは攻撃対象領域のおよそ14%に過ぎない一方で、高度なボットトラフィックの44%を引き寄せており、リスクの偏りが際立っています。
プレデターボットはコードの脆弱性に焦点を当てた攻撃とは異なり、ビジネスロジックを悪用して組織に不利な形へワークフローを作り替えます。これは、チェックアウトフローの操作から大規模なデータ悪用に至るまで、正当なワークフローを悪用するAPI主導の不正として現れます。 AIが高ボリュームの総当たり攻撃と、低速で目立たないステルス攻撃の双方を可能にする中、セキュリティチームは従来の防御がもはや水準に達していないことを急速に認識しつつあります。
ハッカーがプレデターボット攻撃を推進するためにAPI悪用へ照準を合わせる中、可視化、分類、行動監視はデジタル信頼の中核となっています。シャドーAPIや忘れ去られたエンドポイントは攻撃対象領域を広げるだけで、プレデターに隠れ場所を増やします。AI駆動のボットに光を当てるには、人間の洞察と高度で適応的な技術を組み合わせた多層防御戦略が必要です。
マシンスピードで防御する
自動化攻撃が成熟し進化し続けるにつれ、静的ルール、CAPTCHA、IPブロックといった従来の防御策ではもはや追いつけません。マシンスピードでボットに対抗するには、セキュリティチームは自律性と俊敏性に根差した現代的な防御戦術を、人間の専門知識と組み合わせる必要があります。
ボットは単独で行動するわけではなく、セキュリティチームも同様です。自律的な制御は検知と対応を引き継ぎ、疑わしいボット行動を自動的にフラグ付けし、適応型MFAのような保護を適用できます。これにより、人間のアナリストは脅威モデリングや戦略的なリスク低減といった高付加価値の業務に集中できます。
セキュリティチームはまず、エンドポイントを含む完全なAPIディスカバリーから着手し、自分たちのデジタル環境を隅々まで把握している状態を確保すべきです。次に、行動ベースのボット検知、MFA、マシンスピードの異常検知、ビジネスロジック監視といったプロアクティブなセキュリティ対策を採用しなければなりません。これらの対策により、被害が発生する前にボットを捕捉できます。
今日の防御は、ある程度、攻撃のように機能しなければなりません。すなわち、継続的で、コンテキストを理解し、リアルタイムに適応できることです。自律的ツールで人間の能力を補強することで、セキュリティチームは圧倒されて受け身に対応する状態から、能動的かつ知的に運用する状態へと移行します。セキュリティが後れを取る余裕はありません。チームが直面する脅威と歩調を合わせて進化しなければならないのです。
自動化が新たな戦場
AIが攻撃の自動化を加速させる中、防御側には攻撃者のスピードに匹敵し、セキュリティチームが機械では再現できない複雑で判断を要する作業に集中できるようにする、現代的なAI搭載ツールが必要です。
未来は、ボットを締め出すことだけではありません。セキュリティの次の段階は、行動主導の洞察、意図ベースの検知、そしてマシンスピードでの防御によって定義されます。
ティム・チャンは、タレスのアプリケーションセキュリティ担当グローバル・バイスプレジデントです。
翻訳元: https://cyberscoop.com/malicious-bots-predator-bots-api-security-machine-speed-defense/
